建立安全日志記錄

【IT專家網(wǎng)獨家】為了讓大家了解如何追蹤計算機安全日志功能的具體方面，首先需要了解如何啟動安全日志。大多數(shù)Windows計算機(除了某些域控制器版本系統(tǒng))默認情況下不會向安全日志(Security Log)啟動日志記錄信息。這樣的設(shè)置有利也有弊，弊的方面在于，除非用戶強迫計算機開始日志記錄安全事件，否則根本無法進行任何追蹤。好的方面在于，不會發(fā)生日志信息爆滿的問題以及提示日志已滿的錯誤信息，這也是Windows Server 2003域控制器在沒有任何預(yù)警下的行為。

安全日志事件跟蹤可以使用組策略來建立和配置，當然你可以配置本地組策略對象，但是這樣的話，你將需要對每臺計算機進行單獨配置。另外，你可以使用Active Directory內(nèi)的組策略為多臺計算機設(shè)置日志記錄配置。要建立安全日志追蹤，首先打開連接到域的計算機上的Group Policy Management Console (GPMC，組策略管理控制臺)，并以管理員權(quán)限登錄。

在GPMC中，你可以看到所有的組織單位(OU)(如果你事先創(chuàng)建了的話)以及GPO(如果你創(chuàng)建了兩個以上)，在本文中，我們將假設(shè)你有一個OU，這個OU中包含所有需要追蹤相同安全日志信息的計算機，我們將使用臺式計算機OU和AuditLog GPO。

編輯AuditLog GPO然后展開至以下節(jié)點：

Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy

#p#

類別控制范圍的簡要介紹

以下是關(guān)于每種類別控制范圍的簡要介紹：

審計帳戶登錄事件– 每次用戶登錄或者從另一臺計算機注銷的時候都會對該事件進行審計，計算機執(zhí)行該審計是為了驗證帳戶，關(guān)于這一點的最好例子就是，當用戶登錄到他們的Windows XP Professional計算機上，總是由域控制器來進行身份驗證。由于域控制器對用戶進行了驗證，這樣就會在域控制器上生成事件。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對這些事件進行審計。我還發(fā)現(xiàn)，在很多環(huán)境中，客戶端也會配置為審計這些事件。

審計賬戶管理–這個將對所有與管理計算機(配置了審計)的用戶數(shù)據(jù)庫中的帳戶的用戶有關(guān)的事件進行審計，這些事件的示例如下：

·創(chuàng)建一個用戶帳戶

·添加用戶到一個組

·重命名用戶帳戶

·為用戶帳戶更改密碼

對于域控制器而言，該管理政策將會對域帳戶更改進行審計。對于服務(wù)器或者客戶端而言，它將會審計本地安全帳戶管理器(Security Accounts Manager)以及相關(guān)的帳戶。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。最常見以及最佳的做法就是讓所有的域控制器和服務(wù)器對這些事件進行審計。對于用戶帳戶的審計，安全日志以及審計設(shè)置是不能捕捉的。

審計目錄服務(wù)訪問–這個將對與訪問AD對象(已經(jīng)被配置為通過系統(tǒng)訪問控制列表SACL追蹤用戶訪問情況)的用戶有關(guān)的事件進行審計，AD對象的SACL指明了以下三件事：

·將會被追蹤的帳戶(通常是用戶或者組)

·將會被追蹤的訪問類型，如只讀、創(chuàng)建、修改等

·對對象訪問的成功或者失敗情況

由于每個對象都有自己獨特的SACL，對將被追蹤的AD對象的控制級別應(yīng)該是非常精確的。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。最佳做法是為所有域控制器的目錄服務(wù)訪問啟動成功和失敗審計。

審計登陸事件 –這將對與登錄到、注銷或者網(wǎng)絡(luò)連接到(配置為審計登錄事件的)電腦的用戶相關(guān)的所有事件進行審計，一個很好的例子就是，當這些事件日志記錄的時候，恰好是用戶使用域用戶帳戶交互的登錄到工作站的時候，這樣就會在工作站生成一個事件，而不是執(zhí)行驗證的域控制器上生成。從根本上講，追蹤事件是在當嘗試登錄的位置，而不是在用戶帳戶存在的位置。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。通常會對網(wǎng)絡(luò)中所有計算機的這些事件進行日志記錄。

審計對象訪問 –當用戶訪問一個對象的時候，審計對象訪問會對每個事件進行審計。對象內(nèi)容包括：文件、文件夾、打印機、注冊表項和AD對象。在現(xiàn)實中，任何有SACL的對象丟會被涵蓋到這種類型的審計中。就像對目錄訪問的審計一樣，每個對象都有自己獨特的SACL，語序?qū)€別對象進行有針對性的審計。沒有任何對象是配置為魔神進行審計的，這意味著啟用這個設(shè)置并不會產(chǎn)生任何日志記錄信息。一旦建立了該設(shè)置，對象的SACAL就被配置了，對嘗試登錄訪問該對象時就開始出現(xiàn)表項。除非有特別需要對某些資源的追蹤訪問，通常是不會配置這種級別的審計，在高度安全的環(huán)境中，這種級別的審計通常是啟用的，并且會為審計訪問配置很多資源。

審計政策更改–這將對與計算機上三個“政策”之一的更改相關(guān)的每個事件進行審計，這些政策區(qū)域包括：

·用戶權(quán)利分配

·審計政策

·信任關(guān)系

除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。

這種級別的審計不是默認配置來追蹤所有操作系統(tǒng)的事件，最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。

審計過程追蹤 – 這將對與計算機中的進程相關(guān)的每個事件進行審計，這將包括、程序激活、進程退出、處理重疊和間接對象訪問。這種級別的審計將會產(chǎn)生很多的事件，并且只有當應(yīng)用程序正在因為排除故障的目的被追蹤的時候才會配置。

審計系統(tǒng)事件 – 與計算機重新啟動或者關(guān)閉相關(guān)的事件都會被審計，與系統(tǒng)安全和安全日志相關(guān)的事件同樣也會被追蹤(當啟動審計的時候)。這是必要的計算機審計配置，不僅當發(fā)生的事件需要被日志記錄，而且當日志本身被清除的時候也有記錄。除了Windows Server 2003域控制器(配置為審計這些事件的成功與否)啟動了設(shè)置外，沒有操作系統(tǒng)啟動該設(shè)置。最佳做法就是對網(wǎng)絡(luò)中的所有計算機配置這種級別的審計。

#p# 審計類型的事件ID

每個審計類型的Event ID

在安全日志中可能會產(chǎn)生成千上萬的事件，所以你需要要秘密解碼器環(huán)來找出尋找的事件，以下是每種類別最重要的事件(你可能想要在安全日志中跟蹤的)：

審計帳戶登錄事件

Event ID 描述

4776 - 域控制器試圖驗證帳戶憑證信息

4777 -域控制器未能驗證帳戶憑證信息

4768 -要求有Kerberos驗證票(TGT)

4769 -要求有Kerberos驗證票(TGT)

4770 - Kerberos服務(wù)票被更新

審計帳戶管理

Event ID 描述

4741 - 計算機帳戶已創(chuàng)建

4742 – 計算機帳戶已更改

4743 – 計算機帳戶已刪除

4739 – 域政策已經(jīng)更改

4782 - 密碼hash帳戶被訪問

4727 - 安全全局組已經(jīng)創(chuàng)建

4728 – 一名用戶被添加到安全全局組

4729 – 一名用戶從安全全局組解除

4730 – 安全全局組已經(jīng)刪除

4731 - 安全本地組已經(jīng)創(chuàng)建

4732 -一名用戶被添加到安全本地組

4733 -一名用戶被安全本地組解除

4734 -安全本地組已經(jīng)刪除

4735 - 安全本地組已經(jīng)更改

4737 -安全全局組已經(jīng)更改

4754 -安全通用組已創(chuàng)建

4755 -安全通用組已創(chuàng)建更改

4756 -一名用戶被添加到安全通用組

4757 -一名用戶被安全通用組解除

4758 -安全本地組已經(jīng)刪除

4720 – 用戶帳戶已創(chuàng)建

4722 – 用戶帳戶已啟用

4723 - 試圖更改帳戶密碼

4724 – 試圖重置帳戶密碼

4725 – 用戶帳戶被停用

4726 -用戶帳戶已刪除

4738 -用戶帳戶已被改變

4740 -用戶帳戶被鎖定

4765 - SID歷史記錄被添加到一個帳戶

4766 -嘗試添加SID歷史記錄到帳戶失敗

4767 -用戶帳戶被鎖定

4780 -對管理組成員的帳戶設(shè)置了ACL

4781 -帳戶名稱已經(jīng)更改

#p# 事件ID詳解

審計目錄服務(wù)訪問

4934 - Active Directory 對象的屬性被復制

4935 -復制失敗開始

4936 -復制失敗結(jié)束

5136 -目錄服務(wù)對象已修改

5137 -目錄服務(wù)對象已創(chuàng)建

5138 -目錄服務(wù)對象已刪除

5139 -目錄服務(wù)對象已經(jīng)移動

5141 -目錄服務(wù)對象已刪除

4932 -命名上下文的AD的副本同步已經(jīng)開始

4933 -命名上下文的AD的副本同步已經(jīng)結(jié)束

審計登錄事件

4634 - 帳戶被注銷

4647 - 用戶發(fā)起注銷

4624 - 帳戶已成功登錄

4625 - 帳戶登錄失敗

4648 - 試圖使用明確的憑證登錄

4675 - SID被過濾

4649 - 發(fā)現(xiàn)重放攻擊

4778 -會話被重新連接到Window Station

4779 -會話斷開連接到Window Station

4800 – 工作站被鎖定

4801 - 工作站被解鎖

4802 - 屏幕保護程序啟用

4803 -屏幕保護程序被禁用

5378 所要求的憑證代表是政策所不允許的

5632 要求對無線網(wǎng)絡(luò)進行驗證

5633 要求對有線網(wǎng)絡(luò)進行驗證

審計對象訪問

5140 - 網(wǎng)絡(luò)共享對象被訪問

4664 - 試圖創(chuàng)建一個硬鏈接

4985 - 交易狀態(tài)已經(jīng)改變

5051 - 文件已被虛擬化

5031 - Windows防火墻服務(wù)阻止一個應(yīng)用程序接收網(wǎng)絡(luò)中的入站連接

4698 -計劃任務(wù)已創(chuàng)建

4699 -計劃任務(wù)已刪除

4700 -計劃任務(wù)已啟用

4701 -計劃任務(wù)已停用

4702 -計劃任務(wù)已更新

4657 -注冊表值被修改

5039 -注冊表項被虛擬化

4660 -對象已刪除

4663 -試圖訪問一個對象

審計政策變化

4715 - 對象上的審計政策(SACL)已經(jīng)更改

4719 - 系統(tǒng)審計政策已經(jīng)更改

4902 - Per-user審核政策表已經(jīng)創(chuàng)建

4906 - CrashOnAuditFail值已經(jīng)變化

4907 - 對象的審計設(shè)置已經(jīng)更改

4706 - 創(chuàng)建到域的新信任

4707 - 到域的信任已經(jīng)刪除

4713 - Kerberos政策已更改

4716 - 信任域信息已經(jīng)修改

4717 - 系統(tǒng)安全訪問授予帳戶

4718 - 系統(tǒng)安全訪問從帳戶移除

4864 - 名字空間碰撞被刪除

4865 - 信任森林信息條目已添加

4866 - 信任森林信息條目已刪除

4867 - 信任森林信息條目已取消

4704 - 用戶權(quán)限已分配

4705 - 用戶權(quán)限已移除

4714 - 加密數(shù)據(jù)復原政策已取消

4944 - 當開啟Windows Firewall時下列政策啟用

4945 - 當開啟Windows Firewall時列入一個規(guī)則

4946 - 對Windows防火墻例外列表進行了修改，添加規(guī)則

4947 - 對Windows防火墻例外列表進行了修改，規(guī)則已修改

4948 - 對Windows防火墻例外列表進行了修改，規(guī)則已刪除

4949 - Windows防火墻設(shè)置已恢復到默認值

4950 - Windows防火墻設(shè)置已更改

4951 - 因為主要版本號碼不被Windows防火墻承認，規(guī)則已被忽視

4952 - 因為主要版本號碼不被Windows防火墻承認，部分規(guī)則已被忽視，將執(zhí)行規(guī)則的其余部分

4953 - 因為Windows防火墻不能解析規(guī)則，規(guī)則被忽略

4954 - Windows防火墻組政策設(shè)置已經(jīng)更改，將使用新設(shè)置

4956 - Windows防火墻已經(jīng)更改主動資料

4957 - Windows防火墻不適用于以下規(guī)則

4958 - 因為該規(guī)則涉及的條目沒有被配置，Windows防火墻將不適用以下規(guī)則：

6144 - 組策略對象中的安全政策已經(jīng)成功運用

6145 - 當處理組策略對象中的安全政策時發(fā)生一個或者多個錯誤

4670 - 對象的權(quán)限已更改

審計特權(quán)使用

4672 - 給新登錄分配特權(quán)

4673 - 要求特權(quán)服務(wù)

4674 - 試圖對特權(quán)對象嘗試操作

審計系統(tǒng)事件

5024 - Windows防火墻服務(wù)已成功啟動

5025 - Windows防火墻服務(wù)已經(jīng)被停止

5027 - Windows防火墻服務(wù)無法從本地存儲檢索安全政策，該服務(wù)將繼續(xù)執(zhí)行目前的政策

5028 - Windows防火墻服務(wù)無法解析的新的安全政策，這項服務(wù)將繼續(xù)執(zhí)行目前的政策

5029 - Windows防火墻服務(wù)無法初始化的驅(qū)動程序，這項服務(wù)將繼續(xù)執(zhí)行目前的政策

5030 - Windows防火墻服務(wù)無法啟動

5032 - Windows防火墻無法通知用戶它阻止了接收入站連接的應(yīng)用程序

5033 - Windows防火墻驅(qū)動程序已成功啟動

5034 - Windows防火墻驅(qū)動程序已經(jīng)停止

5035 - Windows防火墻驅(qū)動程序未能啟動

5037 - Windows防火墻驅(qū)動程序檢測到關(guān)鍵運行錯誤，終止。

4608 -Windows正在啟動

4609 - Windows正在關(guān)機

4616 - 系統(tǒng)時間被改變

4621 - 管理員從CrashOnAuditFail回收系統(tǒng)，非管理員的用戶現(xiàn)在可以登錄，有些審計活動可能沒有被記錄

4697 - 系統(tǒng)中安裝服務(wù)器

4618 - 監(jiān)測安全事件樣式已經(jīng)發(fā)生

想查看所有事件的完整列表，請訪問微軟網(wǎng)站：http://support.microsoft.com/default.aspx?scid=kb;EN-US;947226

總結(jié)

微軟將繼續(xù)涵蓋事件查看器內(nèi)的安全日志中顯示的額外事件，只要你使用組策略建立了你想要審計和跟蹤的類別，就可以使用上述解碼的事件來跟蹤環(huán)境需要的事件。如果你將事件與其他技術(shù)相結(jié)合(例如訂閱)，你可以創(chuàng)建事件的微調(diào)諧日志，以保證網(wǎng)絡(luò)的安全。

【編輯推薦】

1. Windows Server 2008下細粒度口令策略的實現(xiàn)
2. 微軟windows server 2008標準版10U僅5K3
3. 活用Windows Server 2008系統(tǒng)的幾種安全功能(1)